NIC.br

Ir para o conteúdo
imprensa
  1. Home
  2. Notícias
  3. O paradoxo da Segurança
08 JUL 2009

O paradoxo da Segurança






Decision Report - 08/07/2009 - [ gif ]
Autora: Celia Santos
Assunto: Segurança

As tentantivas de fraudes eletrônicas já atingiram o total do volume do ano de 2008 somente até o mês de março de 2009. Não há dúvida sobre a evolução e crescimento do crime cibernético. Por outro lado, os bancos investem R$ 1,5 bi por ano em segurança e conseguem barrar até 99,999% das fraudes, mas as perdas são significativas. O que fazer diante desse paradoxo?

São 637 milhões de web browsers desatualizados que existem na rede. Estima-se que 30% deles são infectados. Relatório de Inteligência e Segurança, realizado pela Microsoft, aponta que mais de 443 mil máquinas foram infectadas no Brasil em 2008. Mais de 43% delas foram contaminadas com ameaças para roubo de identidade (logins e senhas) de bancos. Tratam-se dos trojans Win32\bancos e Win32\banker, que já lideravam o "ranking" das principais ameaças no passado.

Outra categoria de ameaça digital identificada no relatório são os worms (notifi cações de atividades maliciosas relacionadas com o processo automatizado de propagação de códigos maliciosos na rede), que representaram 32% de todas as ameaças - ou aproximadamente 267 mil computadores. Das 10 principais ameaças identifi cadas no Brasil, nove são malwares (trojans e worms) e a outra é um software potencialmente indesejado (adware). No ranking mundial de ataques de malwares, liderado pela região da Servia e de Montenegro, o Brasil ocupa a 3ª colocação.

Esses números representam apenas um pedaço do cenário que retrata as vulnerabilidades do canal internet. A sensação quando se analisa tais informações é de que sem a responsabilidade do usuário não haverá combate ao crime cibernético. Não é por acaso que o delegado titular da Delegacia de Crimes Praticados por Meios Eletrônicos, do DEIC (Departamento Estadual de Investigação sobre o Crime Organizado), José Mariano de Araujo Filho, desabafa: "o cliente comete o mesmo absurdo de cinco anos atrás, enquanto o sistema bancário brasileiro é um dos mais avançados do mundo em termos de segurança". Ele ainda reforça: "Dou nota zero para cliente bancário porque ele não cuida da segurança. Como você vai policiar quem não quer ser policiado?", questiona.

Por outro lado, 52% dos brasileiros estão "seriamente preocupados" com a segurança das transações na Internet, notadamente no que tange às compras ou operações bancárias, segundo levantamento feito pelo Índice de Segurança Unisys Brasil com 1500 pessoas, durante o mês de março de 2009. Detalhe: os bancos investem R$ 1,5 bilhão por ano em segurança com foco nas fraudes eletrônicas.

Francimara Teixeira Garcia Viotti, do Banco do Brasil, explica que o esforço da instituição para prevenir a clonagem de cartão no ATM, segundo a executiva onde ocorre 80% das tentativas, retrata o desafi o de antecipar à evolução do crime. "Primeiro, adotamos o código de acesso com letras e conseguimos reduzir a fraude. Bastou três meses para incidência aumentar e exigir uma nova ação: letras randomizadas nas teclas, que também foi superado pelos criminosos. Agora, desenvolvemos o código silábico", revela.

Parece até um beco sem saí da, mas basta reunir os fragmentos dessa cadeia de vítimas do ataque cibernético para entender o paradoxo da Segurança da Informação.

Existe segurança no Internet Banking? O desafi o da Segurança da Informação não está apenas na prática de colaboração entre os bancos, a polícia, as operadoras, o governo e a sociedade. O principal obstáculo origina-se do caráter ambivalente da rede, a internet. Mais da metade de todas as brechas de segurança descobertas no ano de 2008 estavam relacionadas a aplicativos web. E, detalhe: mais de 74% não tinham correção.

Até o final de 2008, 53% de todas as vulnerabilidades descobertas durante o ano não receberam correções do fornecedor. Além disso, 46% das vulnerabilidades de 2006 e 44% das de 2007 continuavam sem correção disponível até o fi nal de 2008. Os números sinalizam que a velocidade da indústria em oferecer serviço ao internauta é maior que a oferta de segurança. É por isso que a maioria dos especialistas garante que os bancos são extremamente seguros, porém, o meio em que se trafega quase 7 bilhões de transações bancárias no País é vulnerável.

Além disso, enquanto não houver consenso e bom senso na corrida competitiva para oferta de novos recursos para internet banking, a Segurança da Informação também estará inserida no caos da internet.

Mas não é só o caos e a ambivalência que caracterizam a web. Outra qualidade da internet é seu potencial de escala. O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) registrou, somente até março de 2009, quase 174 mil tentativas de fraude eletrônica. O volume já é maior que o total das 140 mil tentativas de fraudes eletrônicas registradas durante o ano de 2008.

É bom ressaltar que o volume inclui todo tipo de fraude, inclusive de direitos autorais, que representam a maioria dos incidentes registrados pelo CERT.br. Os worms, porém, também seguiram o ritmo: enquanto no ano de 2008, o CERT.br registrou 32,9 mil incidentes de worms, a propagação de códigos maliciosos atingiu 31.045 incidentes registrados em março deste ano pela entidade.

"As ameaças não vão acabar nunca", diz Cesar Augusto Faustino, coordenador da subcomissão de prevenção a fraudes eletrônicas da FEBRABAN. Ele ainda admite que os ataques cresceram de forma exponencial desde 2006, mas garante que as fraudes reduziram muito desde àquela época. Ou seja, a tentativa é imensa, mas a execução nem tanto.

A Febraban informa que as fraudes caíram 27% em termos de valor fi nanceiro e 29% em número de ocorrências entre janeiro e outubro de 2008, enquanto os ataques aumentaram 20%. "Podem atacar o quanto quiserem, mas nós não vamos deixar que tenham êxito", comenta.

Faustino ainda acrescenta que apenas 0,001% do total de transações feitas pelos clientes são fraudadas. Ou seja, o volume é baixo, mas o impacto desses crimes representa perdas significativas para instituições fi nanceiras e também para as vítimas, que são usuárias do serviço.

Educação ainda não começou Não há dúvida de que a conscientização dos 30 milhões de usuários de internet banking é fundamental para contribuir com a muralha construída pelo setor fi nanceiro contra os hackers. Os bancos sabem disso, mas ainda pecam em função da velha imagem. "No passado, quando um dos primeiros casos sobre fraude eletrônica veio à tona, os bancos fi caram receosos diante da divulgação em massa feita pelos órgãos públicos responsáveis pela punição do crime", lembra Luiz Claudio Rossi, diretor de Riscos, Compliance e Segurança da Informação do Banco Indusval, que teve mais de 8 anos de experiência como membro atuante da Febraban.

Atualmente, Rossi está mais distante das discussões sobre Segurança Digital dentro da entidade e reconhece uma evolução importante: os bancos estão dispostos a conceder informações à polícia. Diante da parceria feita entre a Polícia Federal e a Caixa Econômica Federal de centralizar os dados de segurança e compartilha-los entre as instituições em busca do combate ao crime virtual, Rossi conclui: "parece que essa relação evoluiu".

Não há dúvida de que o caminho é longo, mas postergá-lo pode representar um cenário ainda pior. É bom lembrar que, no ano de 2008, foram 4 bilhões de transações bancárias feitas via web somente nas contas correntes de pessoas físicas, segundo informa a Federação Brasileira de Bancos (Febraban). O volume de transações bancárias feitas por meio da internet pelas contas jurídicas foi de 3,9 bilhões. Ou seja, são quase 8 bilhões de transações bancárias realizadas pela internet que, de alguma forma, precisam ser protegidas dos ataques cibernéticos.

O volume de transações tende a crescer, e muito, principalmente porque os bancos almejam cada vez mais clientes e a comodidade do canal web é um grande apelo nessa nova era da falta de tempo. Outra razão é a evolução do uso da internet que já atinge 53,9 milhões de brasileiros. Detalhe: metade deles acessa à internet por meio das lan-houses. Hoje, apenas 25% dos 125 milhões de correntistas são usuários da web.

Vale ressaltar que o setor fi nanceiro busca justamente a parcela da população que só tem condições de acessar a web por meio das lan houses, ou seja, aqueles que ainda não tiveram privilégio de adquirir um PC e ainda pagar a mensalidade da conectividade à rede. Hoje o principal motivo do usuário de PC não ter acessado à internet é a falta de habilidade (61%) e não o custo.

Há, entretanto, um consenso entre especialistas da área: "ninguém vai conseguir fazer segurança sozinho", sintetiza Guilhermino Domiciano, gerente da área de Segurança da Informação do Banco do Brasil. Motivo? Fraude eletrônica sempre vai existir e é responsabilidade de todos (leia-se bancos, justiça, governo, legislativo, operadoras, fornecedores de tecnologia e inclusive o cliente). Educação também!

Logos do CGI.br, NIC.br, Registro.br, Cert.br, Ceptro.br, Cetic.br e W3C
Licença Creative Commons
O conteúdo publicado no site NIC.br está licenciado com a Licença Creative Commons - Atribuição-CompartilhaIgual 4.0 Internacional a menos que condições e/ou restrições adicionais específicas estejam claramente explícitas na página correspondente.
Núcleo de Informação e Coordenação do Ponto BR (NIC.br) CNPJ 05.506.560/0001-36
Política de Privacidade e Termos de Uso